- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-第三方用户同步典型配置
本章节下载: 10-第三方用户同步典型配置 (1.40 MB)
目 录
如图1所示,某客户内网办公网段的IP地址为172.16.11.0/24,其中三层交换机172.16.11.1/24作为网关,办公用户使用认证系统通过认证后将用户名/IP等认证信息存储在Postgresql数据库服务器中,设备作为网关出口设备开启数据库用户同步功能,获取数据库中在线用户信息,当用户上网流量过设备是会自动完成在设备侧实名上线,实现如下要求:
· 对通过内网认证系统的用户在设备侧进行实名认证,要求设备侧在线用户能实名显示哪些办公人员在线。
· 对所有办公用户的上网行为进行控制,不允许办公用户访问P2P下载、网络电视以及网络游戏。
· 配置网络接口
· 配置静态路由
· 配置源NAT
· 配置数据库服务器
· 配置数据库用户同步功能
· 配置控制策略
本举例是在R6616版本上进行配置和验证的。
(1) 配置网络接口
如图2、图3所示,进入“网络配置>接口配置”,点击编辑ge3、ge0接口,把ge0、ge3的地址分别配置为172.16.10.2/24、172.16.30.2/24。
图2 配置ge2接口
图3 配置ge0接口
(2) 配置静态路由
如图4所示,进入“网络管理>路由管理>静态路由”页面,新建配置访问外网的默认路由。
(3) 配置源NAT
如图5所示,进入“策略配置>NAT转换策略>源NAT”页面,新建配置ge0接口源NAT。
(4) 配置数据库服务器
如图6所示,进入“用户管理>认证管理>认证服务器”页面,新建数据库服务器配置如下参数,所有参数与数据库服务器信息保持一致,然后点击<提交>。
(5) 配置数据库用户同步功能
如图7所示,进入“用户管理>认证管理>高级选项>第三方用户同步>数据库用户同步”,配置数据库用户同步功能,点击<提交>。
(6) 配置控制策略
如下图所示,进入“策略配置>控制策略”页面,点击<新建>,匹配条件中用户选择[数据库同步用户],进入<应用过滤>-<应用控制>中新建策略,将P2P软件、P2P流媒体、网络游戏等应用配置为阻断,提交配置。
图8 配置控制策略
· 数据库用户上线后默认关联到”数据库同步用户”组中,且不支持修改,认证方式为数据库认证
· 数据库用户同步页面的SQL语句配置目前没有做限制,但是仅支持用户名和IP地址两个字段查询返回的数据解析;
· 数据库用户同步过来的用户上线必须要有对应IP的流量过设备触发,在线用户上才会显示,否则不会显示;
· 数据用户同步上线的用户老化时间为1个周期的同步间隔,当数据库服务器中的某个用户不存在后,经过下一次数据库用户同步如果都没有该用户,则会被老化踢下线。
· 数据库用户名支持的最大长度为127个字符,如果超过最大长度,用户无法上线。
· 数据库用户同步会根据配置的IP地址范围来过滤,只会同步在IP范围内用户信息。
· 当数据库中IP对应的用户名变更后,在线用户对应的用户名会在下个同步周期完成后进行更新。
· 数据库服务器不支持服务器组
· 数据库用户同步不支持IPV6
· 数据库用户同步不支持同步用户组
· 数据库用户同步支持那些Postgres数据库版本?
· 数据库用户同步目前仅支持Postgres数据库,Postgres数据库的主流版本9、10、11、12、13均可支持,特殊说明如下:
· 数据库12.5以下的版本,数据库对接校验的身份认证加密算法支持md5/password ,其他新版本只支持password,因此如果数据库身份校验不通过需要关闭系统防火墙,同时注意修改算法,方法如下:
· 编辑pg_hba.conf文件,添加如下红框中的内容,同时将method修改为md5或password
· 
· pg_hba.conf文件不同的操作系统路径不一样,举例说明如下:
· windows系统——C:\Program Files\PostgreSQL\13\data\pg_hba.conf
· linux系统——etc/postgresql/12/main/pg_hba.conf 需要注意,不同的数据库版本号路径会有区别
用户在通过认证系统之后,不开启数据库用户同步时访问网络在设备侧全部显示为匿名用户,访问网络视频等不受策略控制。
图9 在线用户
开启数据库用户同步功能后,用户访问网络会直接在设备侧已实名方式上线,用户访问爱奇艺会直接被阻断,产生阻断日志。
图10 在线用户
用户访问爱奇艺会直接被阻断,产生阻断日志。
图11 阻断日志
本文档介绍设备第三方用户同步配置举例,用户同步包含第三方用户同步接口、Radius用户同步、Web用户同步、其它用户同步。本文档主要针对Web用户同步(http流量经过设备)、Web用户同步(http流量到达设备)进行典型配置举例介绍。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户同步特性。
· Web用户同步用户特征字段支持字符有:中文数字字母以及字符(不包含空格'"`/\)
· 用户名特征字段严格检验字母的大小写。
· 用户名长度规格为127个字符,超长会无法同步。
· 用户名支持127个字符,超出会无法同步;
· Ip地址目前只支持ipv4,不支持ipv6;
· 支持http get报文;
· 提取特征中的标记字符与被提取的用户信息数据字符有重复时会导致被提取信息截断。
· 举例:用户名为test&123 特征标记为&,那提取后的用户名为test。
· 端口配置不可配已用端口,例如80、443端口。支持1024-65534之间未使用的端口。
· 各配置项支持字符:支持所有特殊字符
如图12所示,用户在设备2认证服务器上做认证,认证报文经过设备1。使用设备的ge6和ge0接口透明模式部署在网络中,在设备1上配置用户同步。
图12 web用户同步(http流量经过设备)功能配置组网图
按照组网图组网。
(1) 在认证服务器上配置认证(本举例中认证服务器使用的设备,实际环境中以实际认证服务器为准)。
(2) 在设备的ge0和ge6接口配置网桥;
(3) 在设备的ge6接口开启抓包;
(4) Host A过设备进行本地web认证上线;
(5) 在设备1的ge6接口停止抓包,下载报文,查看本地Web认证中的服务器IP地址和端口、携带用户名方式、用户名特征。
(6) 在设备上配置Web用户同步;
(7) Host A过设备再次进行本地Web认证上线;
(8) 上线成功后在设备上查看认证用户。
本举例是在R6616版本上进行配置和验证的。
(此处认证服务器使用的设备,实际环境中以实际认证服务器为准)
进入用户管理>认证管理>认证策略,点击新建,配置本地认证。进入如图13所示的页面。
(1) 在设备的ge0、ge6接口配置网桥
进入网络配置>接口配置>网桥接口,点击新建,将接口ge0 ge6加入网桥。进入如图14所示的页面。
(2) 在设备的ge6接口开启抓包
进入系统管理>系统维护>抓包工具,选择ge6接口、tcp协议、源ip192.168.2.28,点击开始。进入如图15所示的页面。
(3) Host A过设备进行本地web认证上线。
(4) 停止抓包。
停止ge6接口抓包,下载报文,查看本地web认证中的服务器IP地址和端口、携带用户名方式、用户名特征。
(5) 配置web用户同步
进入用户管理>认证管理>高级选项>第三方用户同步>web用户同步,配置web服务器、类型、用户表单名称,点击提交。进入如图16所示的页面。
图16 Web用户配置
(1) Host A过设备再次进行本地web认证上线。
(2) 上线成功后在设备上查看Web同步用户上线。如图17所示。
如图18所示,用户在第三方认证服务器上做认证,认证报文会发送到设备上。使用设备的ge6和ge0接口透明模式部署在网络中,在设备上配置用户同步。
图18 web用户同步(http流量到达设备)功能配置组网图
(1) 按照组网图组网。
(2) 根据第三认证服务器的上下线报文字段,在设备上配置web用户同步;
(3) Host A模拟服务器向设备发送认证用户上线报文;
(4) 发送成功后在设备查看同步用户上线;
(5) Host A模拟服务器向设备发送认证用户下线报文;
(6) 发送成功后在设备查看同步用户下线。
本举例是在R6616版本上进行配置和验证的。
进入用户管理>认证管理>高级选项>第三方用户同步>web用户同步,配置web用户同步(http流量到达设备。进入如图19所示的页面。
图19 Web用户同步配置
(1) Host A模拟服务器向设备发送认证用户上线报文;如图20所示。
(2) 发送成功后在设备查看同步用户上线;如图21所示。
(3) Host A模拟服务器向设备发送认证用户下线报文;如图22所示。
(4) 发送成功后在设备查看同步用户下线;如图23所示。
本文档介绍设备与DDI设备联动功能配置举例。设备主要是以用户为中心,展开对用户一系列上网行为的管理和控制,随着网络硬件的不断发展,越来越多的员工、客户使用自己的硬件终端去办公,个人硬件的携带通常是会通过WIFI网络接入,这种网络基本都是DHCP获取地址。DHCP服务器可以最先且最准确的获取到终端相关系统信息。
本功能主要是通过对接DDI设备,提前获取到终端相关信息,并完成相关策略的引用,从而更好的实现上网行为管理和控制的解决方案。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解与DDI设备联动功能的特性。
如图24所示,某企业对内网用户192.168.2.3~200/24进行控制,只允许终端类型为Microsoft Windows 10的终端进行上网,其它所有终端类型不允许上网,且对能够外网访问的这些终端进行审计和流量控制,终端用户是通过DDI服务器动态获取IP地址的,同时DDI服务器能够获取到用户终端的终端类型并将消息自动上报给Device设备。
图24 DDI设备联动组网
· 配置设备接口地址。
· 开启ddi终端用户功能。
· 配置控制策略。
· 配置审计策略。
· 配置流量控制策略。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图25所示,进入“网络配置>接口配置>物理接口”,点击ge1<编辑>按钮,配置ge1的IP地址为192.168.2.1/24。
(2) 开启ddi终端用户功能
如图26所示,进入“用户管理>认证管理>高级选项>第三方用户同步>其它用户同步”,配置勾选ddi终端用户启用。
图26 配置开启ddi终端用户功能
(3) 配置控制策略
如图27所示,进入“策略配置>控制策略”,配置控制策略。
图27 配置两条控制策略,一条允许终端型号Microsoft_Windows_10,另一条拒绝所有。
(4) 配置审计策略
如图28示,进入“策略配置>审计策略”页面,配置审计策略,对终端型号Microsoft_Windows_10进行审计。
(5) 配置流量控制策略
如图29所示,进入“策略配置>流量控制策略”,配置对终端型号Microsoft_Windows_10进行流量控制。
· 此功能依赖于第三方DDI服务器,需要服务器将终端型号信息同步给设备。
· 此功能默认关闭,可通过命令行或者页面开启,如果未开启ddi终端用户开关,控制策略、审计策略、流量控制策略中的终端配置即使配置后也不会进行匹配,与终端类型配置为any效果一致,同时此功能只对同步过来的IP地址、终端型号和老化时间进行关联进行显示和相关策略的匹配,DDI消息报文中的其它字段暂不关注。
如图30所示,内网用户终端类型为Microsoft_Windows_10的终端可以正常访问外网需,其它类型终端无法访问。
图30 内网用户终端类型为Microsoft_Windows_10的终端可以正常上网
如图31所示,内网用户其它终端类型访问外网资源会被阻断。
如图32所示,内网用户终端类型为Microsoft_Windows_10的终端可以正常产生审计日志。
图32 内网用户终端类型为Microsoft_Windows_10的终端产生的审计日志
如图32所示,通过测速网站(https://www.speedtest.cn/)进行测速,内网用户终端类型为Microsoft_Windows_10的终端流量限速为10Mbps。
图33 内网用户终端类型为Microsoft_Windows_10的终端进行测速
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
